Per impostazione predefinita, l'Autorità di certificazione VMware (VMCA) esegue il provisioning di ESXi con certificati. Utilizzare la modalità personalizzata quando si sostituiscono i certificati VMCA con certificati personalizzati. Utilizzare la modalità di identificazione personale legacy per il debug. Se è realmente necessario passare a un'altra modalità, esaminarne il potenziale impatto prima di iniziare.

Per una spiegazione delle modalità del certificato, vedere Certificati e modalità dei certificati.

Utilizzo dei certificati di ESXi personalizzati

Nota: Quando si passa dall'utilizzo dei certificati VMCA ai certificati personalizzati, tenere in considerazione il tempo necessario per i processi di approvazione e realizzazione dell'organizzazione durante la generazione dei certificati. Eseguire inoltre la pianificazione in modo che il certificato corrente non scada durante il passaggio.

Se il proprio criterio aziendale richiede l'utilizzo di un'autorità di certificazione root diversa da VMCA, è possibile cambiare la modalità del certificato nell'ambiente in uso dopo un'attenta pianificazione. Il workflow è il seguente.

  1. Passare alla modalità personalizzata. Vedere Modifica della modalità del certificato di ESXi.

    Quando si cambia la modalità, vSphere Client attiva il menu a discesa Gestisci con CA esterna consentendo di generare la richiesta di firma del certificato.

  2. Aggiungere il certificato root dell'autorità di certificazione personalizzata a VMware Endpoint Certificate Store (VECS).
  3. Generare la richiesta di firma del certificato e ottenere i certificati che si desidera utilizzare.

    Potrebbe essere necessario attendere un po' di tempo prima che la richiesta CSR venga restituita.

  4. Importare il certificato CA personalizzato nell'host vCenter Server.

    Attendere un po' di tempo che vCenter Server distribuisca il certificato CA personalizzato agli host ESXi.

Passaggio dalla modalità Autorità di certificazione personalizzata alla modalità VMCA

Se si utilizza la modalità Autorità di certificazione personalizzata e si decide che l'utilizzo di VMCA sia più efficace nel proprio ambiente, è possibile eseguire il cambio di modalità dopo un'attenta pianificazione. Il workflow è il seguente.

  1. Rimuovere tutti gli host dal sistema vCenter Server.
  2. Nel sistema vCenter Server, rimuovere il certificato root dell'autorità di certificazione di terze parti da VECS.
  3. Passare alla modalità vmca. Vedere Modifica della modalità del certificato di ESXi.
  4. Aggiungere gli host al sistema vCenter Server.
Nota: Qualsiasi altro workflow per questo cambio di modalità potrebbe causare un comportamento imprevisto.

Conservazione dei certificati in modalità di identificazione personale durante l'aggiornamento

Il passaggio dalla modalità VMCA alla modalità di identificazione personale potrebbe essere necessario se si verificano problemi relativi ai certificati VMCA. In modalità di identificazione personale, il sistema vCenter Server verifica solo se il certificato esiste ed è formattato correttamente, ma non verifica la validità del certificato. Per istruzioni, vedere Modifica della modalità del certificato di ESXi.

Passaggio dalla modalità di identificazione personale alla modalità VMCA

Se si utilizza la modalità di identificazione personale e si desidera iniziare a utilizzare i certificati firmati da VMCA, il passaggio richiede un po' di pianificazione. Il workflow è il seguente.

  1. Rimuovere tutti gli host ESXi dal sistema vCenter Server.
  2. Passare alla modalità vmca. Vedere Modifica della modalità del certificato di ESXi.
  3. Aggiungere gli host ESXi al sistema vCenter Server.
Nota: Qualsiasi altro workflow per questo cambio di modalità potrebbe causare un comportamento imprevisto.

Passaggio dalla modalità Autorità di certificazione personalizzata alla modalità Identificazione personale

Se si verificano problemi relativi all'autorità di certificazione personalizzata, è consigliabile passare temporaneamente alla modalità di identificazione personale. Questo passaggio è semplice se vengono seguite le istruzioni indicate in Modifica della modalità del certificato di ESXi. Dopo il cambio di modalità, il sistema vCenter Server controlla solo il formato del certificato e non controlla più la validità del certificato stesso.

Passaggio dalla modalità Identificazione personale alla modalità Autorità di certificazione personalizzata

Se si imposta l'ambiente sulla modalità di identificazione personale durante la risoluzione dei problemi e si desidera iniziare a utilizzare la modalità dell'autorità di certificazione personalizzata, è innanzitutto necessario generare i certificati richiesti. Il workflow è il seguente.

  1. Rimuovere tutti gli host ESXi dal sistema vCenter Server.
  2. Aggiungere il certificato root dell'autorità di certificazione personalizzata nell'archivio Il TRUSTED_ROOTS in VECS nel sistema vCenter Server. Vedere Aggiornare l'archivio TRUSTED_ROOTS di vCenter Server (certificati personalizzati).
  3. Per ogni host ESXi:
    1. Distribuire la chiave e il certificato dell'autorità di certificazione personalizzata.
    2. Riavviare i servizi nell'host.
  4. Passare alla modalità personalizzata. Vedere Modifica della modalità del certificato di ESXi.
  5. Aggiungere gli host ESXi al sistema vCenter Server.